安全风险评估之信息资产赋值

信息资产赋值定义1.为什么要进行信息资产的赋值？ 在完毕信息资产的辨认形成完整的信息资产表之后，为了明确对资产的保护，同步为了接下来对风险值的计算，有必要对资产的价值进行评估，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的有关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失，从而导致公司资金、市场份额、公司形象的损失。为了资产评估的一致性与精确性，我们建立一套资产价值的评估原则，对每一种资产和每一种也许的损失，例如机密性、完整性和可用性的损失，都可以赋予一种价值。但采用精确的方式给资产赋值是较困难的一件事，一般采用定性的方式，按照资产的价值评估原则将资产的价值划分为不同级别。通过资产的辨认与估价后，组织应根据资产价值大小，进一步拟定要保护的核心资产。 在评估过程，为了保证没有资产被忽视和漏掉，应当先拟定信息安全体系范畴，建立资产的评审边界。评估资产最简朴的方式是列出组织业务过程中、安全管理体系范畴内所有具有价值的资产，然后对资产赋予一定的价值，这种价值应当反映资产对组织业务运营的重要性，并以对业务的潜在影响限度体现出来。例如，资产价值越大，由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的辨认与估价，是建立信息安全体系，拟定风险的重要一步。 2.如何进行信息资产赋值？ 在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面重要考虑当这种资产的机密性、完整性、可用性受到损害时，对业务运营的负面影响限度。在信息安全管理中，并不是直接采用资产的账面价值，而是采用以定性分级的方式建立资产的相对价值，以相对价值来作为拟定重要资产的根据和为这种资产的保护投入多大资源的根据。 对资产的赋值不仅要考虑资产自身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其CIA三个安全属性上的达到限度决定。根据CIA属性分级的原则对资产在机密性、完整性和可用性上的达到限度进行分析，并在此基本上得出一种综合成果信息资产的价值。 赋值五分法资产赋值标记C机密性I完整性A可用性5很高涉及组织最重要的秘密，关系将来发展的前程命运，对组织主线利益有着决定性影响，如果泄漏会导致劫难性的损害 （如企密AAA）完整性价值非常核心，未经授权的修改或破坏会对组织导致重大的或无法接受的影响，对业务冲击重大，并也许导致严重的业务中断，难以弥补可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高涉及组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害（如企密AA）完整性价值较高，未经授权的修改或破坏会对组织导致重大影响，对业务冲击严重，比较难以弥补可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上3中档涉及组织的一般性秘密，一般仅能在组织某一或几种部门内部公开,其泄露会使组织的安全和利益受到损害（如企密A）完整性价值中档，未经授权的修改或破坏会对组织导致影响，对业务冲击明显，但可以弥补可用性价值中档，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低涉及组织较低档别秘密,仅能在组织内部公开的信息，向外扩散有也许对组织的利益导致损害完整性价值较低，未经授权的修改或破坏会对组织导致轻微影响，可以忍受，对业务冲击轻微，容易弥补可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1很低涉及可对社会公开的信息，公用的信息解决设备和系统资源等完整性价值非常低，未经授权的修改或破坏对组织导致的影响可以忽视，对业务冲击可以忽视可用性价值可以忽视，合法使用者对信息及信息系统的可用度在正常工作时间低于25%不同资产相应的赋值原则资产赋值标记C机密性I完整性A可用性5很高核心系统主机；核心的网络设备、安全设备、存储设备；域控制器和核心基本设施服务器；网络和主机管理及监控设备；备份设备、备份介质；打印机；复印机；传真机；个人办公电脑核心系统主机；重要系统主机；核心的网络设备、安全设备、存储设备；重要网络设备、安全设备、存储设备；一般网络设备、安全设备、存储设备；域控制器和核心基本设施服务器；重要（机房）环境设施监控设备；备份设备、备份介质核心系统主机；核心的网络设备、安全设备、存储设备；域控制器和核心基本设施服务器；备份设备、备份介质4高重要系统主机；一般系统主机；重要网络设备、安全设备、存储设备；域成员服务器和重要基本设施服务器；重要（机房）环境设施监控设备；打印机；复印机；传真机；个人办公电脑一般系统主机；域成员服务器和重要基本设施服务器；一般（机房）环境设施监控设备；网络和主机管理及监控设备重要系统主机；重要网络设备、安全设备、存储设备；域成员服务器和重要基本设施服务器；重要（机房）环境设施监控设备；一般（机房）环境设施监控设备；网络和主机管理及监控设备3中档一般网络设备、安全设备、存储设备；一般（机房）环境设施监控设备；打印机；复印机；传真机；个人办公电脑完整性价值中档，未经授权的修改或破坏会对组织导致影响，对业务冲击明显，但可以弥补；打印机；复印机；传真机；个人办公电脑一般系统主机；一般网络设备、安全设备、存储设备；打印机；复印机；传真机；个人办公电脑2低-1很低-信息资产赋值算法1.资产赋值算法阐明信息资产的资产价值要考虑机密性（C）、完整性（I）、可用性（A）三个因素。为了资产评估的一致性与精确性，我们建立一套资产价值的评估原则，对每一种资产和每一种也许的损失，例如机密性、完整性和可用性的损失，都可以赋予一种价值。然后运用拟定的算法将信息资产三个因素的价值综合考虑，拟定最后的资产价值大小，进一步拟定要保护的核心资产。 资产价值的算法一般涉及算术平均法和对数平均法。算术平均法综合考虑三个方面的因素，简便易用。对数平均法在考虑三个因素的同步，更易突出某一特定因素的影响，更加客观精确的体现出资产的价值。 在实际应用过程中，一般不同类别的资产对于三个因素的敏感限度是不同的，例如：人员资产一般不考虑完整性因素。因此，在实践过程中，可觉得不同类别资产的三个因素配备相应的权重，以保证对该类资产价值分析的可靠性和精确性。 2.请选择【信息资产赋值算法】： 无权重 算术平均法：综合考虑资产三个方面的属性，平均得出资产价值，简朴易用。 对数平均法：在综合考虑资产三个方面属性的同步，重点突出某一属性的特点。例如，某些信息资产的保密性规定很高，而可用性、完整性规定较低时，使用本算法更可以凸显出其资产价值的重要性。 有权重( + + = 1) 加权算术平均法：在算术平均法的基本上，根据不同资产类别的特点，人为设立该资产类别中三个方面属性的权重。例如，人员类资产一般不考虑完整性，则可以通过调节权值体现出来。 加权对数平均法：在对数平均法的基本上，根据不同资产类别的特点，人为设立该资产类别中三个方面属性的权重。 f